Կազմակերպությունների լավագույն 5 սխեմաների պլատֆորմներ ՝ կիրառական անվտանգության բարելավման համար

Միայն հակեր կարող է հակերի նման մտածել: Այնպես որ, երբ խոսքը վերաբերում է «հակերների դեմ» դառնալուն, գուցե հարկ լինի դիմել հակերին.


Դիմումների անվտանգությունը միշտ թեժ թեմա է եղել, որը ժամանակի հետ միայն թեժացել է.

Նույնիսկ մեր տրամադրության տակ գտնվող պաշտպանական գործիքների և պրակտիկայի միջոցով (firewalls, SSL, ասիմետրիկ ծածկագիր և այլն), ոստայնի վրա հիմնված որևէ ծրագիր չի կարող պնդել, որ այն անվտանգ է հաքերների սահմաններից դուրս.

Ինչու է դա?

Պարզ պատճառն այն է, որ շինարարական ծրագրակազմը մնում է շատ բարդ և փխրուն գործընթաց: Հիմնադրամի մշակողների ներսում դեռ կան վրիպակներ (հայտնի և անհայտ), և նորերը ստեղծվում են նոր ծրագրաշարերի և գրադարանների գործարկման միջոցով: Նույնիսկ բարձր մակարդակի տեխնոլոգիական ընկերությունները պատրաստ են պատահական շփոթության, և լավ պատճառ.

Այժմ վարձում . . . Հակերներ!

Հաշվի առնելով, որ սխալներն ու խոցելիությունը, հավանաբար, երբեք չեն թողնի ծրագրային ապահովման ոլորտը, որտե՞ղ է այն թողնում, որ բիզնեսն այս համակարգչից կախված լինի իրենց գոյատևման համար: Ինչպե՞ս, օրինակ, դրամապանակների նոր հավելվածը կարող է վստահ լինել, որ այն կկանգնի հակերների չարաճճի փորձերի դեմ?

Այո, դուք դա հիմա կռահեցիք. Հակերներին վարձելով, որ գան և կոտրեն այս նոր հալած հավելվածը: Եվ ինչո՞ւ նրանք: Պարզապես այն պատճառով, որ առաջարկի բավականաչափ մեծ պարգև կա `սխալի մեծությունը: ��

Եթե ​​«առատաձեռն» բառը հիշողություններ է բերում Վայրի Արևմուտքի և փամփուշտներից գնդակոծման մասին, առանց լքելու, դա հենց գաղափարն է: Դուք ինչ-որ կերպ ստանում եք առավել էլիտար և բանիմաց հակերներ (անվտանգության փորձագետներ) ձեր ծրագիրը հանելու համար, և եթե նրանք ինչ-որ բան գտնեն, նրանք վարձատրվում են.

Դրա շուրջ երկու ճանապարհ կա. 1) ինքնուրույն վրիպակների առատաձեռն ընդունելը. 2) bug bounty հարթակ օգտագործելը.

Bug Bounty. Ինքնուրույն հյուրընկալող ընդդեմ հարթակներ

Ինչու՞ եք գնում վրիպակների մեծամասնության հարթակ ընտրելու (և վճարելու) խնդիրներ, երբ կարողանաք պարզապես ինքնուրույն հյուրընկալել: Նկատի ունեմ ՝ պարզապես ստեղծեք համապատասխան մանրամասներով էջ և որոշ աղմուկ բարձրացնեք սոցիալական լրատվամիջոցներում: Ակնհայտ է, որ չի կարող ձախողվել, ճիշտ չէ?

Հաքերը համոզված չէ!

Այո, դա կոկիկ գաղափար է այնտեղ, բայց նայեք դա հակերի տեսանկյունից: Խնդիրների համար վանկարկելը հեշտ գործ չէ, քանի որ այն պահանջում է մի քանի տարվա մարզում, հին և նոր իրերի գրեթե անսահման իմացություն, տոննա վճռականություն և ավելի շատ ստեղծագործականություն, քան ունեն «վիզուալ դիզայներները» շատերը (կներեք, չկարողացա դիմակայել դրան: -Պ).

Հակերը չգիտի, թե ով եք դուք, կամ վստահ չէ, որ կվճարեք: Կամ գուցե, դրդապատճառ չէ: Ինքնուրույն հյուրախաղերը աշխատում են Google- ի, Apple- ի, Facebook- ի և այլնի համար նախատեսված ջնագնդակների համար, որոնց անունները մարդիկ կարող են հպարտությամբ տեղադրել իրենց պորտֆելը: «XYZ Tech Systems» – ի կողմից մշակված HRMS հավելվածում գտել է մուտքի խոցելի խոցելիություն: Այժմ տպավորիչ չի թվում դա (պատշաճորեն ներողություն խնդրելով այնտեղ գտնվող ցանկացած ընկերությունից, որը կարող է նման լինել այս անվանմանը):?

Հետո կան մենակ չգնալու այլ գործնական (և ճնշող պատճառներ), երբ խոսքը գնում է սխալների մասին.

Ենթակառուցվածքների պակաս

«Հակերները», որոնց մասին մենք խոսել ենք, նրանք չեն, որ մթնում են Dark Web- ը.

Նրանք ժամանակ և համբերություն չունեն մեր «քաղաքակիրթ» աշխարհի համար: Փոխարենը, մենք այստեղ խոսում ենք համակարգչային գիտության հետազոտողների մասին, ովքեր կամ համալսարանում են, կամ երկար ժամանակ եղել են բարերար որսորդներ: Այս մարդիկ ցանկանում են և տեղեկատվություն են ներկայացնում հատուկ ձևաչափով, ինչը ինքնին ցավ է `սովորվելու համար.

Նույնիսկ ձեր լավագույն մշակողները պայքարելու են պահպանել, և հնարավորության արժեքը կարող է վերածվել չափազանց բարձր.

Ներկայացումների լուծում

Վերջապես, ապացույցների խնդիր կա: Ծրագիրը կարող է կառուցվել ամբողջովին որոշիչ կանոններով, բայց հենց այն ժամանակ, երբ բավարարված է հատուկ պահանջ, քննարկման է դրված: Եկեք օրինակ վերցնենք `սա ավելի լավ հասկանալու համար.

Ենթադրենք, դուք ստեղծել եք վրիպակների մեծամասնություն վավերացման և թույլտվության թույլտվությունների համար: Այսինքն ՝ Դուք պնդում եք, որ ձեր համակարգը զերծ է մնում անձեռնմխելիության ռիսկերից, որոնք հակերները պետք է ընկրկեն.

Այժմ հաքերը թուլություն է գտել ՝ հիմնվելով այն բանի վրա, թե ինչպես է աշխատում որոշակի զննարկիչ, ինչը նրանց թույլ է տալիս գողանալ օգտվողի նստաշրջանի նշանները և դրանք ապամոնտաժել.

Արդյո՞ք դա վավեր գտնում է?

Հաքերի տեսանկյունից, անշուշտ, քանի որ խախտումը խախտում է: Ձեր տեսանկյունից, գուցե ոչ, քանի որ կամ կարծում եք, որ սա ընկնում է օգտագործողի պատասխանատվության տիրույթում, կամ այդ զննարկիչը պարզապես չի մտահոգում ձեր թիրախային շուկայի համար.

Եթե ​​այս ամբողջ դրաման պատահում էր սխալի բարգավաճման պլատֆորմի վրա, ապա ի վիճակի կլինեն արբիտրներ որոշում կայացնել բացահայտման ազդեցության մասին և փակել հարցը.

Ասենք, եկեք նայենք այնտեղի վրիպակների հանրաճանաչ բրաուզերների մի քանի տարբերակներից.

Հաքերոն

Սխալների մեծամասնության ծրագրերի շարքում, Հաքերոն առաջատարն է, երբ խոսքը վերաբերում է հակերներին մուտք գործելուն, ձեր բարեսիրական ծրագրերը ստեղծելուն, բառը տարածելուն և ներդրումները գնահատելուն.

Hackerone- ից օգտվելու երկու եղանակ կա. Օգտագործեք պլատֆորմը խոցելիության մասին հաշվետվություններ հավաքելու և ինքներդ դրանք մշակելու համար կամ թույլ տվեք, որ Hackerone- ի մասնագետները կատարեն քրտնաջան աշխատանքը (փորձարկում): Դատարկումը պարզապես խոցելիության մասին զեկույցների կազմման, դրանք հաստատելու և հակերների հետ շփվելու գործընթաց է.

Hackerone- ը օգտագործվում է Google Play- ի, PayPal- ի, GitHub- ի, Starbucks- ի և այլնի նման անուններով, ուստի, իհարկե, դա նրանց համար, ովքեր ունեն ծանր վրիպակներ և լուրջ գրպաններ: ��

Սայլակ

Սայլակ առաջարկում է մի քանի լուծումներ անվտանգության գնահատման համար, դրանցից մեկը ՝ Bug Bounty: Այն տրամադրում է SaaS լուծում, որը հեշտությամբ ինտեգրվում է ձեր գոյություն ունեցող ծրագրային ապահովման ցիկլային փուլին և այն դարձնում խթան `հաջողությունների սխեմաների հաջող ծրագիր իրականացնելու համար:.

Կարող եք ընտրել ունենալ մասնավոր սխալի բոնուսային ծրագիր, որը ներառում է ընտրված մի քանի հակերներ կամ հանրային, որը հավաքված է հազարավոր մարդկանցով:.

SafeHats

Եթե ​​ձեռնարկություն եք և հարմարավետ չեք զգում ձեր bug bounty ծրագիրը հանրային դարձնելու համար – և միևնույն ժամանակ ձեզ ավելի շատ ուշադրություն է պետք, քան կարելի է առաջարկել սովորական սխալի բոնուսային հարթակով – SafeHats ձեր ամենաապահով խաղադրույքն է (սարսափելի պատ, հա՞):.

Նվիրաբերված անվտանգության խորհրդատու, հակերային խորքային պրոֆիլներ, հրավերների մասնակցություն. Ամեն ինչ մատուցվում է ՝ կախված ձեր կարիքներից և ձեր անվտանգության մոդելի հասունությունից:.

Խարդավանք

Խարդավանք համապարփակ սխեմաների բուֆետային հարթակ է, որը ձեզ կապում է սպիտակ գլխարկ հակերների հետ, անկախ նրանից ՝ ցանկանում եք վարել մասնավոր ծրագիր կամ հանրային:.

Հակերների համար շատ են նվերներ կողոպտել: Կախված ընկերության չափսից և արդյունաբերությունից, մատչելի են 1000-ից 20,000 եվրոյի արատների որս.

Synack

Synack- ը, կարծես, այն շուկայի բացառություններից մեկն է, որը կոտրում է ձուլվածքը և վերջում անում է ինչ-որ զանգվածային բան: Նրանց անվտանգության ծրագիրը Հաքել Պենտագոնը գլխավոր ակնարկն էր, ինչը հանգեցրեց մի քանի կարևոր խոցելիության հայտնաբերմանը.

Այսպիսով, եթե դուք փնտրում եք ոչ միայն վրիպակների հայտնաբերում, այլ նաև անվտանգության առաջնորդություն և վերապատրաստում վերին մակարդակում, Synack գնալու ճանապարհն է.

Եզրակացություն

Youիշտ այնպես, ինչպես դուք հեռու եք «հրաշքի բուժում» հայտարարող բուժողներից, խնդրում ենք հեռու մնացեք ցանկացած կայքից կամ ծառայությունից, որն ասում է, որ հրակայուն անվտանգությունը հնարավոր է: Այն ամենը, ինչ մենք կարող ենք անել, մեկ քայլ առաջ մոտեցնել դեպի իդեալը: Որպես այդպիսին, սխալների համար նախատեսված ծրագրերը չպետք է ակնկալեն զրոյական սխալների դիմումներ, այլ պետք է դիտարկել որպես հիմնական ռազմավարություն `իսկապես չարագուշակներից դուրս մղելու համար:.

Ստուգեք սա bug bounty որսորդական դասընթաց եթե ցանկանում եք սովորել և ձեռք բերել փառքի սրահ, պարգևատրում, գնահատում.

Հուսով եմ, որ դուք կոտորում եք շատ սխալներից: ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map